物理セキュリティ技術のサイバーセキュリティ上のリスク
物理セキュリティとサイバーセキュリティを非常に異なる別々の取り組みと見なしている人もいますが、基本的にはどちらも同じことを実現します。それは、人、資産、ブランド、および評判の保護です。これを成功させるための礎石のひとつは、効果的なリスク評価を確実に実施することです。
物理セキュリティとサイバーセキュリティが目的の点で類似しているだけでなく、かつて別々だった2つの産業が収束し始めています。特にネットワークカメラ、オープンアクセス制御、IPオーディオの台頭により、物理セキュリティシステムを利用する際には紛れもないサイバーセキュリティリスクが存在するようになりました。接続されたIoTデバイスの急増、およびハッカーの巧妙さと能力の向上により、リスクのレベルは上昇し続けています。
コンサルタント、施工業者、エンドユーザーのいずれであっても、物理セキュリティの実践者が一歩引いて、物理的および電子的セキュリティシステムの設計、指定、設置および運用時に、潜在的なサイバーセキュリティの問題を適切にリスクとして評価する時期が来ました。
物理セキュリティがサイバーセキュリティの頭痛の種になるとき
多くの企業では物理セキュリティ技術を導入するために膨大な金額を投資しています。しかし、物理的な安全を確保するように設計されたこれらのシステムがITネットワークへの裏口になり得るということは、残念ながら事実です。私たちを安全に保つために設計されたシステムが、実際にはビジネスにとっての最大のセキュリティリスクになる可能性があるのです。
安全でないセキュリティシステムが侵入者にライブビデオフィードへのアクセスを与えた例を見たことがあります。最近、オーストラリアのカジノのCCTVシステムがハッキングされて、犯人がカメラの映像を見たり、カジノフロアでプレイしている相手にメッセージを中継したりできることが報告されました。これはハリウッド映画に登場するような事件に聞こえますが、これは犯罪者が数百万ドルを持ち逃げすることを可能にした、現実の出来事でした。
侵入者に施設への不正アクセスを許可し、ハッキングされているアクセス制御システムの例も数多くあります。これによる影響は重大なものになる可能性があります。加害者が侵入者警報システムを無効にし、それが正しく機能するのを妨げることができたらどうなるでしょうか。こうなると、誰かが建物に侵入したかどうかを知ることをほとんど不可能になってしまいます。
変化の年
サイバーセキュリティの話題が注目を集める中で、2018年は脅威に対抗するために多くの規制変更が行われました。 ネットワークと情報システムのセキュリティに関する指令(NIS指令)と同様に、一般データ保護規則(GDPR)が施行され始めました。
どちらの指令も、違反した場合には実質的に同じ罰金が科せられます。大規模な罰金は事業を衰弱させる可能性があるため、関連会社がその要件を満たすために十分な注意を払うことが不可欠です。
すでにCCTVシステムの導入に関連して、GDPRの罰金が英国とEUの間に課されている例を目にしています。イギリスのハッカーが学校のCCTVシステムに侵入して生徒が映ったストリーム映像がインターネット上に流されている、ということが報じられました。当然のことながら、これは多くの否定的な宣伝を得ました。私たちは子供たちが安全であることを期待して学校に送り出していますが、セキュリティシステムは子供たちを危険にさらすのではなく保護するためにあるのです。
適切なテクノロジーパートナーを選択することが重要な理由
当社のビジネスが主に関わっているセキュリティの世界では、これまで、適切なテクノロジパートナーを選択することはそれほど重要ではありませんでした。いまや、セキュリティ担当者にとっての最初のステップは、サイバーセキュリティは単なるIT上の問題ではないことを認識し、物理的および電子的なセキュリティシステムの展開に関するビジネス上のサイバーセキュリティのリスクを理解することなのです。
それから、企業がこれから調達しようとしている技術を製造しているメーカーについて十分な注意を払うことも重要です。サイバーの成熟度と関連するリスクの理解を示すために、各ベンダーはどのような方針と手順を用意しているでしょうか?
その機器がメーカーまたは正規のパートナーから購入されているかどうかも明確にする価値があります。世の中では、他社によって製造されたOEM機器やODM機器を自社製品として販売するメーカーが増えています。このアプローチには利点がありますが、セキュリティの脆弱性に対処する際に問題が発生する可能性があります。
主な教訓は、正直さと透明性がテクノロジーベンダにとって本当に重要であるということです。積極的に脆弱性を特定し、修正を加えたCommon Vulnerabilities and Exposures(CVE、共通脆弱性識別子)リストをリリースする企業と協力することが不可欠です。これは、配備済の物理セキュリティシステムを保護するために不可欠な要素です。
最後に、システムを強化する際の試運転プロセスが重要です。メーカーは、機器類をインストールするシステムをサポートし、効果的なサイバー防御のためにCritical Security Controls(クリティカル・セキュリティ・コントロール)に従って作られた文書を提供するべきです。これはほんの出発点であり、他にも考慮すべきことがたくさんあります。特に教育です。
サイバーセキュリティの課題と規制の詳細については、最新のテクノロジペーパー(英文)をダウンロードしてください。